Hilfe! Mir wird vorgeworfen, dass mein Rechner einen Trojaner hat und ich Spam verschicke

Freitag bekam ich einen weniger netten Anruf aus Hamburg. Der Anrufer forderte, dass sich sofort damit aufhöre, ihn mit Spam Mails das Postfach zuzumüllen. Auf meine Nachfrage hin, bekam ich zur Antwort, dass ich doch mit meiner Firma hinter dieser Werbung für arbeitdeutschland.com stehen würde. Nun, da ich keine Firma habe, blieb ich gelassen. Der Anrufer hatte offensichtlich meine Web-Seite gefunden und sich nicht die Mühe gemacht, sie genauer zu lesen. Meine Auskunft, dass ich diese Mails nicht verschicke, sondern nur über sie schreibe und genau wie er leide, konnte ihn nur begrenzt überzeugen. Er wird mich jetzt weiter beobachten.

Es ist nicht das erste Mal, dass diese Behauptung aufgestellt wurde und mir sogar mit dem Anwalt gedroht wurde. Ich hoffe, dass die Leute sich etwas besser informieren, bevor sie voreilig Anzeige gegen mich erstatten oder einen Anwalt einschalten. Die Kosten können sie sich sparen.

Nun deutet ein Kommentar hier darauf hin, dass ich nicht der einzige bin, dem solches vorgeworfen wird. Den Vorwurf stets einfach von der Hand zu weisen, geht jedoch nicht. Es ist nicht auszuschließen, dass an dem Vorwurf etwas dran ist. „Was tun?“, spricht Zeus. Schauen wir uns die Sache näher an.

„Hilfe! Mir wird vorgeworfen, dass mein Rechner einen Trojaner hat und ich Spam verschicke“ weiterlesen

How to deobfuscate Blackhole Java-Script

This article describes my investigations of the Java-Script obfuscation currently used by the Blackhole Exploit Kit. My intend was to write some smal scripts to automatically deobfuscate the Java-Script without using Java-Script itself. Using Java-Script with a little help would be an easy task because you only have to identify the point where the „eval“-fucntion is called and repalce it with an alert- or document-write function. My intend was to fully automate the deobfuscation to used it by an mail-scanner or a proxy-server.

I an former article I investigated the LinkedIn Spam and showed an example of a landing page assure_numb_engineers.php I downloaded from the server. Thanks to the daily spam and some web-sites listing the active servers I could get my hand on some more landing pages. Most of them looked like the example below.

In the next few paragraphs I will explain how the decoding and encoding works and develop explain a solution for decoding without deciphering the javascripts of a certain class.

„How to deobfuscate Blackhole Java-Script“ weiterlesen

SPAM: UPS Worldship Sendungsimport Beispieldatei

Ob dieser Text geschickt ist? Wer nicht mit UPS telefoniert hat, wird sich wundern igrend etwas vereinbart zu haben und den Braten riechen. Wer allerdings aus welchen Gründen auch immer mit UPS etwas telefonisch vereinbart hat, könnte auf den Trick hereinfallen. Frage mich. Wie groß ist der Streuverlust. Welches E-Mail Programm erzeugt eine Text/HTML Mail, in der der Textteil alle Absätze und teilweise die Leerstellen verliert? Sehr unprofessionell diese Mail.

From: <no-reply@notification.ups.com>
To: <thomas@example.com>
Date: Mon, 22 Oct 2012 16:49:56 +0700
Subject: UPS Worldship Sendungsimport Beispieldatei
Attachments: Sendungsimport_Beispiel.zip
Sehrgeehrter UPS Kunde,Wie telefonisch vereinbart sende ichIhnen hiermit die Beispieldatei als Anhang zu.Bei eventuellen Fragen rufen Siebitte die folgende Nummer: 0800 100 9079.Das ist eine automatisch generierteNachricht, bitte beantworten Sie es nicht.Mit freundlichen: UPS IntermediateTechnical SupportThe information provided by UnitedParcel Service (UPS) technical support is provided “as is” withoutwarranty of any kind. UPS disclaims all warranties, either express or implied,including the warranties of merchantability and fitness for a particularpurpose. In no event shall United Parcel Service, Inc. or its suppliers beliable for any damages whatsoever including direct, indirect, incidental,consequential, loss of business profits or special damages, even if UnitedParcel Service or its suppliers have been advised of the possibility of suchdamages. Some states do not allow the exclusion or limitation of liability forconsequential or incidental damages so the foregoing limitation may not apply.© 2012 United Parcel Service of America, Inc.

Die Beispieldatei Sendungsimport_Beispiel.zip enthält – wie erwartet – einen Trojaner Sendungsimport_Beispiel.pdf.exe und ist 13 von 43 Virenscannern unter den folgenden Namen bekannt:

  1. FakeAlert
  2. Heur.Dual.Extensions
  3. Mal/BredoZp-B
  4. PWS-Zbot.gen.anm
  5. Suspicious.Cloud.5
  6. Trj/CI.A
  7. Trojan.Zip.Bredozp.b (v)
  8. W32/Crypt.BGHX
  9. W32/EncPk.CWP!tr
  10. W32/Generic!zip-dobleextension
  11. W32/Heuristic-300!Eldorado

Wenn ich mir die „Namen“ Heur.Dual.Extensions und W32/Generic!zip-dobleextension anschaue, frage ich mich, warum andere Virenscanner dies nicht erkennen können.

Update: NACHA Alert

Nachtrag zu den NACHA Trojanern

Die Trojaner lassen sich nicht mehr von den drei Servern herunterladen. Ob dies das Ergebnis dessen ist, dass ich den Admins eine Mail geschrieben habe? Wer weiß? Eine Rückmeldung hab ich nicht bekommen. Schade …

Antivir

Antivir liefert heute zu meinen drei gesammelten Trojanern folgendes Ergebnis:


zPxqxHGf.exe
Datum: 22.02.2012 Zeit: 22:15:20 Größe: 95232
ALERT: [TR/PSW.Fareit.C.241] zPxqxHGf.exe < << Ist das Trojanische Pferd TR/PSW.Fareit.C.241 o3fQ.exe Datum: 22.02.2012 Zeit: 22:15:18 Größe: 95744 ALERT: [TR/Crypt.ZPACK.Gen] o3fQ.exe <<< Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen CcLYgL.exe Datum: 22.02.2012 Zeit: 22:15:18 Größe: 95232 ALERT: [TR/Offend.KD.540289] CcLYgL.exe <<< Ist das Trojanische Pferd TR/Offend.KD.540289

Ich muss die beiden gleich großen Dateien mal vergleichen.

ClamAV

ClamAV erkennt heute leider nur zwei der drei Trojaner.


CcLYgL.exe: Trojan.FareIt-6 FOUND
o3fQ.exe: OK
zPxqxHGf.exe: Trojan.Fareit FOUND